PowerTool下載

http://pan.baidu.com/s/1skZx4TZ

PowerTool_1.6_PortableSoft.7z

1 系統(tǒng)檢測

自動檢測了如下安全項；

有個 流氓快捷方式 項

頑固桌面圖標(biāo)刪不掉3種辦法：
1、桌面上點鼠標(biāo)右鍵-排列圖標(biāo)-運行桌面圖標(biāo)清理向?qū)?選擇要清理的圖標(biāo)-點下一步就可以了
2.如果有360安全衛(wèi)士，可以嘗試：
打開 360安全衛(wèi)士——修復(fù)IE，全選，立即修復(fù)！
然后打開 360頑固木馬專殺大全(百度搜索下載)，里面也有一個修復(fù)，
把里面的與 IE相關(guān) 的選項都打上勾，立即修復(fù) 即可！
做以上動作時請先將瀏覽器關(guān)閉
3、（如果系統(tǒng)里面沒有桌面圖標(biāo)清理向?qū)Щ蚯謇砹藷o效）建議使用windows清理助手有綠色版不用安裝）掃描后，再用故障修復(fù)（全選）修復(fù)后,桌面上點鼠標(biāo)右鍵刷新一遍再看桌面圖標(biāo)是不是沒有了，如果無效建議安全模式下進行操作。

2 主引導(dǎo)記錄

可備份主引導(dǎo)記錄；

CLI禁止中斷發(fā)生
STL允許中斷發(fā)生
這兩個指令只能在內(nèi)核模式下執(zhí)行

0x7C00是x86 PC操作系統(tǒng)啟動的位置，

Why BIOS loads MBR into 0x7C00 in x86 ?總結(jié)一下原因有以下幾點：

① ? ? ?"0x7C00" First appeared in首次出現(xiàn)在IBM PC 5150 ROM BIOS INT 19h handler（中斷處理程序的地址），IBM PC 5150 BIOS Developer Team決定使用這個地址的。
② ? ? ?"0x7C00"這個數(shù)字屬于BIOS 的規(guī)范范疇的
③ ? ? ?"0x7C00 = 32KiB - 1024B" 原因在于操作系統(tǒng)的需求和CPU內(nèi)存布局

3 系統(tǒng)驅(qū)動

AGP440.SYS是顯卡驅(qū)動的文件

amdsata.sys是安裝AHCI 1.2所需要的一個驅(qū)動文件

AHCI（Serial ATA Advanced Host Controller Interface）串行ATA高級主控接口/高級主機控制器接口）

alilide.sys屬于ALi mini IDE Driver 是正常驅(qū)動文件

4 進程管理

API HOOK技術(shù)是一種用于改變API執(zhí)行結(jié)果的技術(shù)，Microsoft 自身也在Windows操作系統(tǒng)里面使用了這個技術(shù)，如Windows兼容模式等。 API HOOK 技術(shù)并不是計算機病毒專有技術(shù)，但是計算機病毒經(jīng)常使用這個技術(shù)來達到隱藏自己的目的。

5 模塊

vmware托盤進程里為什么會顯示一個金山公司生產(chǎn)的DLL？真是奇怪；

參考：

http://drops.wooyun.org/news/15514

kbasesrv篡改主頁分析

6 進程權(quán)限

在Winnt.h中定義了一些權(quán)限名稱的宏，
#define ? ? SE_BACKUP_NAME ? ? ? ? ? ? ? ? ? TEXT("SeBackupPrivilege")
#define ? ? SE_RESTORE_NAME ? ? ? ? ? ? ? ? TEXT("SeRestorePrivilege")
#define ? ? SE_SHUTDOWN_NAME ? ? ? ? ? ? ? TEXT("SeShutdownPrivilege")
#define ? ? SE_DEBUG_NAME ? ? ? ? ? ? ? ? ? ? TEXT("SeDebugPrivilege")

7 內(nèi)核模塊

200多個，好多啊；

8 內(nèi)核回調(diào)

回調(diào)函數(shù)就是一個通過函數(shù)指針調(diào)用的函數(shù)。

你到一個商店買東西，剛好你要的東西沒有貨，于是你在店員那里留下了你的電話，過了幾天店里有貨了，店員就打了你的電話，然后你接到電話后就到店里去取了貨。在這個例子里，你的電話號碼就叫回調(diào)函數(shù)，你把電話留給店員就叫登記回調(diào)函數(shù)，店里后來有貨了叫做觸發(fā)了回調(diào)關(guān)聯(lián)的事件，店員給你打電話叫做調(diào)用回調(diào)函數(shù)，你到店里去取貨叫做響應(yīng)回調(diào)事件。

9 鉤子

10 消息鉤子

11 重要的系統(tǒng)文件

可直接查看Hosts文件內(nèi)容；

12 文件管理

13 注冊表

14 啟動項

15 網(wǎng)絡(luò)連接

16 網(wǎng)絡(luò)連接劫持

17 工具自帶的dll

此工具自帶一堆dll

18 過濾驅(qū)動

此欄共列出以下類型的過濾驅(qū)動：磁盤，文件，I8042prt，鍵盤，網(wǎng)絡(luò)，未知；

過濾驅(qū)動：

過濾驅(qū)動就是掛載在其他驅(qū)動上，對某設(shè)備的irp進行攔截過濾作用，可以對設(shè)備進行功能擴展，或是數(shù)據(jù)加密等的驅(qū)動程序。

對于WDM框架的過濾程序來說共有兩種：一種是高層過濾驅(qū)動程序；一種是低層過濾程序。

如果將過濾程序附在功能驅(qū)動（FDO）的下面，這樣介于FDO和PDO之間的過濾驅(qū)動稱為低層過濾驅(qū)動程序，一般記為Low FiDO。
如果被除在功能驅(qū)動（FDO）的上面，則稱為上層過濾驅(qū)動程序，一般記為High FiDO。
在WMD框架中的過濾驅(qū)動可以相互嵌套，層層疊加，即上層過濾驅(qū)動程序之上可以再附加更高層的過濾驅(qū)動程序，同理低層過濾驅(qū)動程序可以被更低層的過濾驅(qū)動所過濾。

對每個驅(qū)動右擊，可做如下操作；

看一下有四個網(wǎng)絡(luò)類型的過濾驅(qū)動附加到了PnpManager的驅(qū)動上，過濾驅(qū)動的作者是微軟自己；
分別是，
C:\Windows\system32\DRIVERS\blbdrive.sys
C:\Windows\system32\drivers\volmgr.sys

blbdrive.sys是什么？資料甚少，僅下頁有所描述；
http://www.computerhope.com/cgi-bin/process.pl?p=blbdrive.sys
SM/MMC host controller file.
另外blddrive.sys也可能是病毒，尤其不在drivers目錄；

volmgr.sys在此有個描述；
http://binarydb.com/file/volmgr.sys-9743.html
volmgr.sys belong to Terminal Server Mouse Driver module developed by Microsoft in the database contains 3 versions of the volmgr.sys signed file and file md5 is 103e84c95832d0ed93507997cc7b54e8.

干嘛要對PNP管理做過濾驅(qū)動呢？誰能解釋下呢；

至于文件過濾驅(qū)動，是騰訊公司干的，附加到FltMgr；
C:\Windows\system32\drivers\TsQBDrv.sys
TsQBDrv.sys在此頁有一個描述；
http://systemexplorer.net/file-database/file/tsqbdrv-sys/25961742
QQ瀏覽器為何要做文件過濾驅(qū)動呢？誰能解釋一下；

看下鍵盤過濾驅(qū)動，都是微軟自己干的；
C:\Windows\system32\DRIVERS\kbdclass.sys

http://file.bkjia.com/k/kbdclass.sys.html
kbdclass.sys是什么
kbdclass.sys 是存放在目錄 C:\Windows\System32\drivers。 已知的 Windows 7/Vista/XP 文件大小為 24,576 字節(jié) (占總出現(xiàn)比率 58% )，35,384 字節(jié)，42,576 字節(jié) 或 32,872 字節(jié)。 驅(qū)動程序可以在【控制面板-管理工具-服務(wù)】中開始或停止，或者由其他程序 所控制。 程序沒有可視窗口。 這個服務(wù)沒有詳細注釋。 這個文件是由 Microsoft 所簽發(fā)。 這是個鍵盤驅(qū)動程序，它可以記下您的輸入鍵。 這個不是 Windows 系統(tǒng)文件。 kbdclass.sys 似乎是被壓縮過的文件 總結(jié)在技術(shù)上威脅的危險度是 25% 。
kbdclass.sys 也可能是惡意軟件所偽裝，尤其是當(dāng)它們存在于 c:\windows 或 c:\windows\system32 目錄。

還有一些未知類型的過濾驅(qū)動，針對的是ACPI；

看下，干了過濾驅(qū)動這個事情的單位有：微軟，intel，Tencent;

總結(jié)

以上是生活随笔為你收集整理的图解使用PowerTool对Windows内核做初步研究探索的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。